Sun Java安装文件破坏漏洞

漏洞信息详情

Sun Java安装文件破坏漏洞

• CNNVD编号：CNNVD-200312-237
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-1156
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-10-31
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  sun
• 漏洞来源：
  Stan Bubrouski※ st…

Sun Java 2 SDK是一款Java实现平台。
Sun Java实现在安装过程中建立不安全临时文件，本地攻击者可以利用这个漏洞通过符号连接，对系统进行拒绝服务等攻击。
当在Linux上安装Java的时会有不安全临时外呢件建立。当下载Linux的.bin或rpm.bin安装程序后，允许.bin和接收许可或安装rpm时，Sun会调用自己的unpack程序进行解包，程序存储在/usr/java/j2re＜version＞/lib/unpack，在安装之后会删除，每次Unpack调用会建立临时文件/tmp/unpack.log，因此通过简单的符号链接可以覆盖系统中的重要文件，可能导致系统崩溃。
另外postinstall脚本也不安全的建立/tmp/.mailcap1和/tmp/.mime.types1临时文件，同样存在符号连接攻击问题。

厂商补丁：
Sun
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://java.sun.com/j2se/” target=”_blank”>
http://java.sun.com/j2se/

来源: XF
名称: sun-jre-java-symlink(13570)
链接:http://xforce.iss.net/xforce/xfdb/13570

来源: BID
名称: 8937
链接:http://www.securityfocus.com/bid/8937

来源: BUGTRAQ
名称: 20031031 Advisory: Sun’s jre/jdk 1.4.2 multiple vulernabilities in linuxinstallers
链接:http://www.securityfocus.com/archive/1/343038

来源：NSFOCUS
名称：5616
链接：http://www.nsfocus.net/vulndb/5616